cyber risk, sicurezza

CYBER RISKS : una simulazione dei loro effetti e disastri nel mondo reale

Con la crescita dell’economia DIGITALE, è necessario conoscere quali sono le minacce (“CYBER RISK”) che l’anno scorso hanno coinvolto 2 italiani su 3, alle prese con con un crimine informatico: il 55% si è trovato un device infettato da virus o altre minacce, al 41% è stato notificato che le proprie informazioni sensibili sono state compromesse a seguito di una violazione di dati, il 40% ha risposto a una email fasulla fornendo informazioni personali o finanziarie (Fonte :Symantec)

Il filmato , tradotto dal video dell’assicuratore specializzato in “Cyber Risk” HISCOX, mette a fuoco come si traducono nella vita reale e quotidiana gli attacchi informatici ai danni dell’Azienda, della sua reputazione e le perdite di affari che ne conseguono.

Ecco una serie di frodi online che si possono prevenire con apposite misure di sicurezza ed assicurare, con polizze speciali, e dare tranquillità alle aziende.

Malware

Gli hacker hanno inviato una e-mail di phishing con un allegato  un documento di testo fasullo a un membro del team di account all’interno di una piccola azienda di commercialisti. All’apertura dello allegato, è stato installato automaticamente un pezzo di software per la registrazione delle chiavi che consentiva agli hacker di raccogliere dati di accesso cruciali e quindi accedere al portale bancario dell’azienda con le credenziali di uno dei loro utenti.L’assicurato è stato contattato dalla banca dopo che gli hacker avevano avviato diversi bonifici bancari e lotti ACH dal conto dell’assicurato a conti situati in Nigeria. Dopo aver verificato con l’utente le cui credenziali erano state utilizzate per istruire le transazioni, l’azienda ha incaricato una società di informatica forense per stabilire cosa era successo e
rimuovere il malware dal sistema. Dopo essere riuscito a richiamare alcuni dei bonifici bancari, l’azienda è rimasta con 164.000 sterline persi in furti di fondi elettronici e costi di 15.000 sterline per il lavoro di informatica forense.

Phishing
Il controllore finanziario di un piccolo studio legale ricevette una telefonata da qualcuno che pretendeva di provenire dalla banca della compagnia, avvisando che alcuni bonifici sospetti erano stati segnalati sul conto commerciale. Il chiamante ha insistito sul fatto che l’azienda potrebbe aver già rubato dei fondi dal suo conto e si è trovata in pericolo immediato che tutti i fondi rimanenti siano stati svuotati a meno che non abbiano bloccato il conto, per il quale la banca avrebbe dovuto dirgli la password e il PIN codice.
Non volendo essere la causa di ulteriori perdite, il controllore finanziario ha confermato il codice pin e la password al chiamante, che ha poi confermato che il blocco era stato applicato con successo e che sarebbero stati nuovamente in contatto una volta risolta la situazione.Dopo aver chiamato la banca il giorno successivo per il check-in, il controllore finanziario è stato informato che la banca non era stata effettivamente in contatto e che 89.991 sterline erano state collegate a tre conti all’estero in nove transazioni separate.Ormai era troppo tardi per ricordare le transazioni e apparentemente erano state autorizzate, nessun rimborso era stato offerto dalla banca.

Hacking telefonico
Una società di broker assicurativo ha recentemente installato un nuovo sistema telefonico VOIP (web hosted) nei propri uffici per ridurre i costi delle chiamate. I truffatori sono riusciti a utilizzare un pezzo di software per decifrare la password della rete telefonica e hanno programmato il sistema telefonico per effettuare ripetutamente chiamate a un numero a tariffa premium di loro proprietà.
Un mese dopo, l’azienda è stata contattata dal proprio fornitore di rete telefonica per confermare di aver accumulato £ 25.000 di chiamate. Nonostante confermino di essere state le vittime dell’hacking, la compagnia telefonica ha insistito sul pagamento del conto in sospeso.


Ransomware
Il titolare di uno studio medico privato ha acceso il suo computer il lunedì mattina per essere accolto con un messaggio che dichiarava che ogni singolo record dei pazienti sulla rete era stato crittografato e che una somma di £ 30.000 doveva essere pagata in bitcoin in cambio della chiave di decodifica.
L’assicurato ha contattato una società di informatica legale che ha confermato che il livello di crittografia significava che sarebbe stato quasi impossibile accedere ai dati senza la chiave di crittografia e che l’unica altra alternativa era cancellare la rete del ransomware e cio’ poteva portare a cancellare tutti i file di dati. Era trascorso una settimana dall’ultimo backup del software, il che significava che i dati critici del paziente sarebbero andati persi – e quindi il riscatto era stato pagato. Forensics è stato poi ingaggiato per rimuovere qualsiasi malware rimanente dalla rete al costo di £ 10.000. Costo del sinistro £ 40.000.


CEO Fraud
Un indirizzo e-mail fraudolento e quasi identico per l’amministratore delegato di un imprenditore edile di medie dimensioni è stato creato da truffatori che lo hanno utilizzato per istruire un individuo nel reparto contabilità a effettuare un bonifico bancario di £ 50.000 a un nuovo fornitore di materiali. L’e-mail dichiarava che il nuovo fornitore veniva utilizzato per reperire materiali aggiuntivi per un lavoro cruciale e che il pagamento doveva essere effettuato con urgenza per garantire la consegna delle merci.
L’e-mail è stata inviata mentre il manager era in vacanza in modo tale che non fosse possibile effettuare alcuna verifica faccia a faccia. Il conto a cui erano stati trasferiti i fondi in realtà apparteneva ai truffatori che erano in grado di recuperare il denaro prima che la transazione potesse essere richiamata.I cinesi sfruttano i commercianti di armi informatiche per diffondere malware.

 

Per conoscere maggiori dettagli sulle “adeguate misure di sicurezza” di cui all’art. 32 del GDPR, sui corsi di formazione per i dipendenti relativi alla protezione privacy come richiesti da Regolamento Europeo sul Trattamento dei Dati EU 679/2016 e quali assicurazioni coprono l’azienda dai cyber-risks , GOLINUCCI srl è a vostra disposizione . email dpo@golinucci.it , telefono 0547 22351.

https://www.golinucci.it/prodotti-e-servizi/per-le-aziende/cyber-risk

https://www.golinucci.it/prodotti-e-servizi/sicurezza-e-privacy/gdpr-privacy-e-sicurezza

sicurezza

Prima sanzione GDPR da € 400.000 emessa contro ospedale per tre violazioni.

 Il Centro Hospitalar Barreiro Montijo, nei pressi di Lisbona (Portogallo) è stato multato per 400.000 euro per aver violato il Regolamento generale sulla protezione dei dati (GDPR Eu 679/16) applicabile in tutti i Paesi dell’Unione Europea.

GDPR -HOSPITAL
L’autorità di controllo del Paese,CNPD Comissão Nacional de Protecção de Dados, ha rilevato che ci sono state tre violazioni del GDPR. La prima era una violazione dell’articolo 5, paragrafo 1, lettera c), relativo alla “ minimizzazione dei dati  (“i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per i quali sono trattati”) , consentendo l’accesso indiscriminato a un numero eccessivo di utenti e una violazione dell’articolo 83, paragrafo 5, lettera a), una violazione dei principi di elaborazione dei dati, con una multa di 150.000 euro.
Il secondo, una violazione dell’integrità e della riservatezza dovuta alla mancata applicazione di misure tecniche e organizzative per impedire l’accesso illecito ai dati personali ai sensi dell’articolo 5, paragrafo 1, lettera f), e anche dell’articolo 83, paragrafo 5, lettera a), una violazione dei principi di base di elaborazione. Per queste violazioni  la multa è stata di 150.000 euro.LOGOgolinucci gdpr

Entrambe le violazioni erano punibili con una multa fino a 20 milioni di euro o il 4 per cento del fatturato totale annuo. Infine, il CNPD ha sanzionato l’articolo 32, paragrafo 1, lettera b), l‘incapacità del convenuto di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento nonché la mancata attuazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, compreso un processo per testare, valutare e valutare regolarmente le misure tecniche e organizzative per garantire la sicurezza del trattamento. Per questa violazione la multa e’ stata di 100.000 euro, anche se l’ammenda massima era di 10 milioni di euro al 2 percento del fatturato totale annuo. La difesa presentata dall’ospedale riferiva che il CNPD non poteva essere considerato l’autorità di controllo di cui all’articolo 51 perché non era stato ancora nominato formalmente. A tal fine, la CNPD ha risposto che è, a tutti gli effetti, l’autorità nazionale che ha il potere di controllare e supervisionare la conformità in termini di protezione dei dati in conformità con l’attuale legge portoghese sulla protezione dei dati.Inoltre, tra le sue argomentazioni  vi era che l’ospedale usava il sistema informatico fornito agli ospedali pubblici dal Ministero della Salute portoghese e non i suoi sistemi. Questi i fatti provati dal CNPD:

 

• Non c’era alcun documento contenente la corrispondenza tra le competenze funzionali degli utenti e i profili per l’accesso alle informazioni (comprese le informazioni cliniche).

Non esisteva inoltre un documento che definisse le regole per la creazione di utenti del sistema informativo dell’ospedale.

Nove dipendenti tecnici hanno goduto del livello di accesso riservato al gruppo medico, il che ha portato alla possibilità indiscriminata di tali dipendenti di consultare le cartelle cliniche di tutti gli utenti dell’ospedale.

Esistenza di credenziali di accesso che consentivano a qualsiasi medico, indipendentemente dalla sua specialità, di accedere in qualsiasi momento ai dati dei clienti di un ospedale. Questo è stato considerato come una violazione del principio del “bisogno di sapere” e del principio della “minimizzazione dei dati”.

gdpr1

• Ci sono stati 985 utenti associati al profilo “dottore”, ma nelle cartelle ufficiali dello ospedale ci sono solo 296 medici in quell’ospedale.

 

• Manutenzione di profili inutili per medici che non forniscono più servizi all’ospedale.

• C’erano solo 18 account utente che erano inattivi e l’ultimo è stato disattivato a novembre 2016.

• Il convenuto ha agito in modo libero e volontario e  consapevole del fatto che i suoi atti sono proibiti dalla legge.

Nel determinare l’importo dell’ammenda, che era relativamente basso considerando quello che avrebbe potuto essere, il CNPD ha considerato quanto segue, in conformità con l’articolo 83 (1) (a-k):

La natura, la gravità e la durata dell’infrazione tenendo conto dell’ambito naturale o della finalità del trattamento, nonché il numero di interessati. È stato inoltre considerato pertinente il fatto che i dati personali coinvolti fossero categorie speciali di dati, compresi i dati sanitari, che hanno aumentato in modo significativo il rischio di danni agli interessati.

• Possibile frode: il convenuto rappresentava la pratica della cattiva condotta come una possibile conseguenza della condotta e conforme ad essa.

• L’iniziativa del convenuto di mitigare i danni subiti dagli interessati.

• Il grado di responsabilità del convenuto, tenendo conto delle misure tecniche e organizzative attuate.

• Non ci sono state infrazioni precedenti.

• Grado di cooperazione con il CNPD al fine di porre rimedio all’infrazione e mitigarne i possibili effetti negativi.

barreiro-fine-2• Come il CNPD ha appreso dell’infrazione, in quanto non è stato comunicato dall’ospedale, ma è stato conosciuto attraverso i media e successivamente confermato dall’ispezione CNPD.
Nel determinare l’ammontare della sanzione, il CNPD ha anche considerato il fatto che il convenuto ha adottato misure per regolarizzare la situazione.
Il fatto sorprendente di questa multa è che il CNPD ha agito su un articolo di giornale e non su una denuncia. Da ciò riteniamo che fosse particolarmente rilevante per il CNPD in quanto non c’erano procedure documentate per l’accesso ai dati, ma anche che i dati coinvolti erano categorie speciali di dati. 

Source : https://iapp.org The International Association of Privacy Professionals ( di cui Golinucci srl e’ associato)

GOLINUCCI srl offre servizi per la protezione assicurativa dai CYBER ATTACKS e di assistenza e consulenza per la tutela della privacy in conformità con il GDPR anche attraverso la fornitura di strumenti per la gestione sicura della posta elettronica, delle password aziendali  e delle reti. Per info : privacy@golinucci.it

sicurezza

COME GESTIRE PASSWORD AZIENDALI SICURE

La prima difesa dagli attacchi hacker per un’azienda, nell’attuale ERA DIGITALE, è quella di dotarsi di una gestione ottimale di PASSWORD COMPLESSE , attraverso GESTIONALE DI PASSWORD PER MULTI-UTENTI di facile utilizzo.

Con il numero di account digitali necessari per fare qualsiasi cosa su Internet – dalla “home banking” all’archiviazione ottica di documenti, dal’accesso a portali online  di fornitori o clienti online all’utilizzo di piattaforme di social media , tenere traccia di ognisingola password può essere scoraggiante.

Spesso gli utenti di azienda utilizzano le medesime password e questo e’ anche sanzionabile ai sensi del GDPR , il regolamento europeo per il trattamento dei dati personali UE 679/16.

Cosi’ seguendo la normativa e le buone regole, un’azienda deve :

1. proteggere con password tutti gli account. Che si tratti di un server, di un account di posta elettronica o di un’app, gli utenti dovrebbero sempre proteggere i propri dati con password poiché sono la prima e spesso unica linea di difesa tra hacker e informazioni personali.

2.utilizzare password complesse. Non usare mai password facili da indovinare o contenenti nomi, nomi propri o dettagli che possono essere appresi attraverso la ricerca di base. Tutte le password devono essere più lunghe di otto caratteri e includere un mix di lettere, numeri e simboli casuali. Ancora meglio, usare un generatore di password.

3.non riutilizzare mai le password. Ogni account ha bisogno di una password unica. Il rischio nel riutilizzo della password è che gli hacker possono usare password da account compromessi per accedere facilmente ad altri account. L’unica protezione contro questo e’ di avere una password diversa per ogni account.

4.modificare periodicamente le password 

GOLINUCCI srl , oltre ad offrire servizi di protezione assicurativa contro gli attacchi hacker ( vedi CYBER INSURANCE ) offre a tutela delle aziende Clienti servizi di protezione e gestione password pro-attivi con la comodità desiderata dagli utenti.

IMG_0952

QUESTI ALCUNI SERVIZI FONDAMENTALI

Salva tutto in un unico posto                                                                                                                                                                

Offri ai dipendenti ciò che desiderano: un posto facile in  cui salvare tutte le credenziali e da cui accedere con un solo clic ad internet.

Ricorda una sola password  

I dipendenti pensano a creare e memorizzare la loro master password, mentre a tutte le altre ci pensa l’APP.

Lascia che sia l’APP a ricordare e inserire

L’APP crea, salva e inserisce le password automaticamente, facendo risparmiare tempo e grattacapi ai dipendenti.

Organizza le password personali e aziendali    

Usa le password per tutti i tuoi accessi quotidiani e ordinale al posto giusto in automatico.

Genera password complesse    

Lascia che sia L’APP a creare password lunghe per i dipendenti, in modo da proteggere ogni servizio Web con una password univoca e complessa.

Condividi le password con comodità

Sostituisci i fogli di calcolo con una condivisione delle password facile e sicura che tenga tutti aggiornati.

Offri un accesso universale  

L’APP è al lavoro ovunque lo siano i dipendenti, grazie alla sincronizzazione in tempo reale su qualsiasi dispositivo.

Per conoscere i servizi di protezione e gestione password pro-attivi  offerti tramite GOLINUCCI srl , clicca qui

 

sicurezza

I cinque principali motivi per acquistare una polizza CYBER

Affrontare il caso di assicurazione CYBER, un tipo relativamente nuovo di copertura, può essere difficile per i broker, anche se è chiaro che quasi tutte le aziende potrebbero trarne vantaggio. Quindi, per aiutare i broker a rendere più facile la discussione sull’assicurazione CYBER, abbiamo messo insieme i cinque principali motivi per acquistare una polizza CYBER.

cyber

1. La criminalità informatica è il crimine in più rapida crescita al mondo, ma le polizze standard per la proprietà o la criminalità possono essere restrittive nella copertura che offrono.

L’uso diffuso della tecnologia e di Internet ora significa che la vostra azienda è esposta ai criminali del mondo ed è vulnerabile agli attacchi in qualsiasi momento del giorno o della notte. Ad esempio, le truffe di ingegneria sociale stanno diventando una pandemia nel mondo degli affari, portando a perdite significative per le aziende di tutti i tipi. L’assicurazione cyber è in prima linea nella protezione contro questa nuova ondata di criminalità, fornendo copertura a una vasta gamma di pericoli elettronici, dalle frodi al trasferimento di denaro ai ransomware.

2. I sistemi tecnologici sono fondamentali per il funzionamento della vostra attività quotidiana, ma i loro tempi di inattività non sono coperti dall’assicurazione di interruzione dell’attività standard.

Quasi tutte le aziende si affidano a sistemi informatici e altre tecnologie per svolgere il proprio core business. Nel caso in cui questi sistemi vengano abbattuti, una polizza di interruzione dell’attività tradizionale probabilmente non risponderebbe. L’assicurazione CYBER può fornire copertura per la perdita di reddito e spese aggiuntive associate a un evento informatico.

3. I dati sono una delle risorse più importanti, ma non sono coperti dalle polizze standard.

La maggior parte delle aziende concorda sul fatto che i dati o le informazioni sono uno dei loro beni più importanti e valgono molte volte di più delle apparecchiature fisiche su cui sono archiviati. Eppure la maggior parte dei proprietari di imprese non si rende conto che una polizza  standard non risponderebbe nel caso in cui questi dati fossero danneggiati o distrutti. Una polizza CYBER può fornire una copertura completa per il ripristino dei dati .

4. Rispettare le leggi sulla notifica delle violazioni costa tempo e denaro.

Le leggi sulla notifica delle violazioni sono ormai comuni in molti territori e, tra le altre cose, in genere richiedono alle aziende che perdono dati personali sensibili di fornire una notifica scritta a quegli individui potenzialmente interessati o che rischiano multe e multe salate. Il Regolamento europeo sulla protezione dei dati  (GDPR UE 679/2016) , l’Australian’s Notifiable Data Breaches Act, la legge sulla privacy digitale in Canada, , e diverse leggi statali degli Stati Uniti ne fanno un obbligo legale di notifica, e vi è anche una crescente tendenza alla notifica volontaria al fine di proteggere il marchio e la reputazione. Le polizze cyber possono fornire una copertura per i costi associati alla fornitura di una notifica di violazione anche se non è legalmente richiesta e possono anche coprire le multe e le sanzioni regolamentari associate.

5. Una buona polizza CYBER offre accesso a un’ampia gamma di servizi di risposta agli incidenti.

La risposta a un incidente informatico richiede una serie di specialisti, dalle aziende forensi IT alle agenzie specializzate in relazioni pubbliche, che aiutano ad affrontare sia le conseguenze immediate sia le conseguenze a lungo termine di un evento informatico. Le piccole e medie imprese, in particolare, stanno affrontando una dura battaglia; non solo sono sempre più presi di mira dai cybercriminali, ma è anche improbabile che abbiano in casa la gamma di specialisti della risposta agli incidenti richiesti. La buona notizia è che l’assicurazione CYBER può fornire un facile accesso a questi servizi, aiutando le aziende a negoziare più facilmente il volto mutevole della criminalità.

sicurezza

Come proteggersi dalle truffe bancarie telefoniche

Le truffe telefoniche sono in aumento e stanno diventando sempre più sofisticate mentre i criminali guardano a modi nuovi e inventivi per ingannare le loro vittime nel rivelare informazioni sensibili.

0-header

Secondo la ricerca di Econmia, l’attività fraudolenta costa 190 miliardi di sterline all’anno e le truffe bancarie telefoniche sono aumentate del 178% nell’ultimo anno.

La ragione di questo massiccio aumento delle frodi bancarie telefoniche è dovuta al fatto che è un affare così redditizio. Le perdite totali dovute a queste truffe sono state di 236 milioni di sterline nel 2017, con 43.875 casi relativi a un totale di 42.837 vittime.

Queste statistiche sono davvero preoccupanti e sottolineano la necessità di una maggiore consapevolezza su questo tipo di frode. La realtà è che molte di queste persone sono state distrutte da queste truffe e alcune vittime hanno risparmiato i loro risparmi di una vita nel giro di 15 minuti.

I truffatori professionisti che stanno dietro questi attacchi passeranno molto tempo a fare in modo che la loro chiamata sia il più lucida e professionale possibile e, utilizzando una gamma di tecnologie e tattiche diverse, riusciranno a convincere la vittima a trasferire denaro o divulgare informazioni personali.

Le truffe telefoniche sono un tentativo mirato di manipolare qualcuno nell’esecuzione di determinate azioni o nella divulgazione di informazioni riservate. Questa pratica è comunemente conosciuta come vishing. Vishing è una combinazione della parola voice e phishing e si riferisce a frodi di phishing che avvengono per telefono.

Uno scenario tipico coinvolgerà un truffatore che si presenta come impiegato di una banca per segnalare comportamenti sospetti sul tuo conto. Questo sarà normalmente qualcosa legato alla sicurezza ; qualcuno che cerca di accedere al tuo conto o rubare la tua identità.

Il chiamante creerà spesso un senso di urgenza per farti agire il più rapidamente possibile. Il truffatore potrebbe dirti di “agire in fretta per risolvere la situazione” o “vogliamo che questo venga risolto per te il più rapidamente possibile, quindi se puoi seguire immediatamente queste istruzioni”.

Uno dei principali modi in cui far apparire la chiamata autentica è usando una tattica nota come “truffa del numero“. Usando una tecnologia sofisticata, i truffatori possono modificare il numero di telefono da cui stanno chiamando in modo che corrisponda al numero di telefono ufficiale della tua banca. Potrebbero persino chiederti di controllare il display del tuo telefono per verificare che la chiamata sia autentica.

Un’altra tattica consiste nel riprodurre il rumore di fondo, quindi sembra che la chiamata venga effettuata da un call center o da un ufficio occupato.

Il chiamante potrebbe già avere alcune delle tue informazioni personali come il nome, l’indirizzo o il numero di telefono e una volta ottenuta la tua fiducia, tenterà di concludere la truffa il più rapidamente possibile.

Potrebbe chiederti di trasferire denaro su un conto sicuro mentre il problema è stato risolto, consegnare informazioni personali come dati di accesso, password e pin, oppure installare spyware sul tuo computer per rubare altre informazioni personali.

La truffa è completa

Le vittime spesso vengono fuori dalla chiamata con un senso di sollievo per il fatto che una crisi è stata appena evitata, ma sfortunatamente scopriranno presto che il loro conto in banca è stato cancellato.

I soldi saranno presto trasferiti su altri conti bancari in tutto il mondo e può essere molto difficile ottenere indietro i soldi. Secondo UK Finance, nel 2017, tre quarti dei soldi non potevano essere restituiti alle vittime.

Le banche sono spesso riluttanti a rimborsare i clienti che sono caduti per le truffe poiché hanno autorizzato direttamente il trasferimento di denaro. Ciò significa che le banche non sono tenute a pagare alcun compenso.

Il livello di sofisticazione utilizzato nelle truffe è davvero preoccupante e le vittime spesso dicono che l’unica ragione per cui credevano che la chiamata fosse genuina era perché il numero corrispondeva alle loro banche e non avevano idea che i criminali potevano falsificare un numero ufficiale.

Come evitare di essere truffati

Nonostante la crescente sofisticazione di queste truffe telefoniche ci sono molti modi in cui puoi proteggerti dalla caduta della vittima:

-fai attenzione alla “truffa del numero” (phone spoofing) : i criminali hanno accesso a una tecnologia sofisticata in grado di far apparire un numero di telefono autentico, non il loro effettivo numero di telefono  chiamante.
-fai attenzione alle chiamate telefoniche da numeri sconosciuti – Se una chiamata arriva inaspettata da un numero che non ti è familiare, considera la chiamata come sospetta.
non fornire mai informazioni personali per telefono – Le organizzazioni legittime non ti chiederanno mai di fornire informazioni personali come password, pin, codici di attivazione o dettagli del conto bancario al telefono.
-riattacca: se ti senti intimidito o molestato da una chiamata, non aver paura di riattaccare immediatamente. Una tattica comune è creare un senso di urgenza per fare pressione sulla vittima nel consegnare i propri dettagli.
-chiama direttamente l’organizzazione: se pensi che la telefonata sia una truffa, riattacca il telefono e chiama direttamente l’organizzazione. Inserisci il numero ufficiale da te stesso e non richiamare mai usando il numero che ti ha dato il chiamante.
-disponi il blocco delle chiamate: se ti senti disturbato da chiamate provenienti da numeri sconosciuti, potrebbe essere saggio investire in un dispositivo di blocco delle chiamate per escludere chiamate indesiderate.

Source:  Geraldine Strawbridge – Metacompliance

Geraldine Strawbridge si è laureata presso l’Università di Glasgow. È membro del team di marketing di MetaCompliance con lo scopo di sviluppare contenuti  in relazione alla sicurezza informatica e alla conformità.

Come Assicurarsi : esistono speciali clausole nelle polizze “Cyber Risks” che tutelano le aziende dai danni subiti per fraudolento trasferimenti di Fondi dal conto bancario. Per ulteriori informazioni : GOLINUCCI srl tel. 0547 22351 dpo@golinucci.it

 

sicurezza

Introduzione al GDPR: i 118 elementi piu’ importanti della Privacy

Non esiste una tendenza aziendale simile alla privacy dei dati. Non è solo la velocità con cui è cresciuto fino a diventare una preoccupazione a livello di CdA (consiglio di amministrazione) per le aziende, né la sua portata quasi totale in quanto incide sui governi, le imprese, i clienti e anche i consumatori più ampi. Altre tendenze commerciali possono dire lo stesso, incluso il cloud computing.

data_privacy_periodic_tableCio’ che distingue la privacy dei dati è che nessun’altra tendenza genera lo stesso volume di interesse popolare e professionale, ispirazione e, a volte, indignazione.Gran parte di questa reazione deriva dalla velocità con cui si sta diffondendo e evolvendo. Il movimento per la privacy dei dati sta raggiungendo rapidamente un numero sempre maggiore di Paesi, industrie e corpi legislativi, fino a quando la sua partecipazione alla fine sarà totale. Ma finché non lo è, e le stesse regole, i diritti e gli obblighi sono incisi in ogni manifestazione della privacy dei dati, rimane un’area incredibilmente fluida e confusa, come tutti sappiamo.Per aiutare, abbiamo creato una tabella periodica sulla privacy dei dati. È progettata per raggruppare e classificare i 118 “elementi” più importanti della privacy dei dati e presentarli in un formato facilmente digeribile. È un progetto in corso. Mentre il mondo della privacy cambia sotto i nostri piedi, rivaluteremo la tabella e la aggiorneremo, rimuovendo e sostituendo gli elementi. È anche un progetto controverso. Con spazio per soli 118 elementi, abbiamo dovuto prendere decisioni difficili, semplificando alcune aree e persino escludendo alcuni elementi a favore di altri. Fondamentalmente, abbiamo cercato di ignorare gli effetti del clamore mediatico e non lasciare che il progetto diventasse troppo GDPR-centrico. Alcune delle nostre motivazioni per le decisioni sull’inclusione e la categorizzazione sono incluse di seguito, e una spiegazione ancora più approfondita è inclusa nel nostro blog.  Vorremmo che questo fosse un progetto aperto e accettiamo felicemente il feedback della community sulla privacy su come potrebbe essere necessario apportare modifiche. Fino ad ora abbiamo avuto alcuni input eccellenti e abbiamo già preso parte a questa creazione per creare questa seconda versione. Una terza non sarà molto lontana!

Le categorie

Abbiamo classificato gli elementi di privacy dei dati per rispecchiare i tratti delle categorie nella tabella originale. Ad esempio, la sezione triangolare a destra della versione scientifica è dedicata ai non metalli reattivi, elementi molto comuni che sono i mattoni di tutte le forme di vita, come il carbonio, l’azoto e l’idrogeno. Questo era perfetto per i principi fondamentali della protezione dei dati in quanto senza questi, non potrebbe esserci alcuna legge sulla privacy.Allo stesso modo, gli elementi sconosciuti nella parte inferiore della sezione principale – quelli che sono sotto stretta indagine scientifica e che si spera siano meglio compresi in futuro – sono stati abbinati ai previsti sviluppi futuri della legge sulla privacy dei dati. Naturalmente, questa è l’area che aggiorneremo più frequentemente.

Etica

L’idrogeno è l’elemento più comune nell’universo. È anche il più semplice e fondamentale, e sulla tavola periodica scientifica, si distingue da tutti gli altri elementi. Questo era quindi il luogo ideale per mettere l’etica. Questo elevato status di etica nella privacy dei dati non è esagerato. Dopo tutto, la legislazione sulla privacy è la codifica di ciò che la società ritiene essere il modo etico e appropriato in cui i dati personali possono essere elaborati.

“Conformità”

Abbiamo usato una licenza artistica e inserito la conformità, numero elemento 21, tra virgolette per un semplice motivo: è impossibile da raggiungere. È un mito frustrante che continua a ruotare attorno alla privacy dei dati che la conformità possa essere raggiunta. Non può, almeno non nel modo in cui le aziende lo capiscono comunemente, cioè una dimostrazione una tantum di aderenza a determinate regole. Le norme sulla privacy dei dati non sono progettate per l’adesione “single point in time”. Richiedono sforzi costanti e costante vigilanza per assicurare che i diritti delle persone interessate siano tutelati. I dati dei processi di un’azienda sono troppo fluidi per affermare che l’aderenza ora significhi qualsiasi cosa per l’adesione in futuro, rendendo le affermazioni di “conformità” completamente vuote – e le cosiddette certificazioni di conformità senza valore.

Eux

Le implicazioni sulla privacy dei dati della Brexit sono fondamentali, in particolare se il Regno Unito è ufficialmente uno stato adeguato agli occhi dell’UE. Ma questo scenario esatto potrebbe essere ripetuto in altri paesi dell’UE. L’Italia, i Paesi Bassi, la Francia e altri hanno avuto solide discussioni parlamentari sull’opportunità di seguire il Regno Unito e lasciare l’UE. L’inclusione di questo elemento sottolinea la necessità per i professionisti della privacy di essere il più aggiornati possibile sulla geopolitica e il suo impatto sulla privacy dei dati, oltre a comprendere la legge già in vigore.

Diritto di rettifica

Non abbiamo deliberatamente incluso questo. È stata una decisione difficile, ma eravamo vincolati dal numero di elementi in ogni categoria. Forse siamo troppo letterali, ma è indubbiamente un esercizio molto utile per riflettere più a fondo su questi diritti e comprenderli meglio per elaborare le loro classificazioni.Chiaramente questa è una decisione controversa, in quanto suggerisce di dare priorità ad alcuni diritti rispetto ad altri. Per essere chiari, non lo stiamo facendo. Stiamo semplicemente cercando di ospitare un mondo molto complesso in soli 118 elementi! Abbiamo anche ritenuto che la rettifica sia sufficientemente affrontata dall’accuratezza e dalla disponibilità nei principi fondamentali della sezione sulla protezione dei dati per consentirci di rimuoverla senza che il sentimento di fondo della destra scompaia dal tavolo. Dovevamo anche fare spazio per il seguito.

Diritto di essere informato

Si potrebbe sostenere che il diritto di essere informati è coperto dalla trasparenza e da altri principi fondamentali e quindi potrebbe essere stato invece escluso. Ma volevamo includerlo per evidenziare un’osservazione interessante.Questo diritto può essere universale, ma il modo in cui si manifesta in vari quadri legislativi varia enormemente. Ad esempio, il GDPR afferma che il diritto deve essere protetto proattivamente attraverso chiare istruzioni nelle note sulla privacy.

Troviamo anche che i nostri clienti a volte confondono questo diritto con quello di accesso. Per motivi di chiarezza, il diritto di essere informati riguarda la comprensione di come vengono utilizzati i dati, mentre l’accesso è semplicemente una questione di soggetto in grado di visualizzare quali dati sono conservati.Per spiegare e articolare pienamente ogni scelta che abbiamo fatto nella creazione di questo tavolo ci vorrebbero pagine e pagine! La maggior parte delle decisioni si basava sullo spazio disponibile, a prescindere dalla sovrapposizione con altri elementi e in alcuni casi particolari, priorità. Ma facci sapere se qualcosa qui è confuso. Stiamo già lavorando all’aggiornamento della sezione sugli sviluppi futuri alla luce delle imminenti leggi brasiliane e di altri nuovi annunci, e ovviamente i cambiamenti in questa sezione avranno effetti a catena sull’area normativa di base sopra di essa, e forse altrove.

Source : Sophie Chase-Borthwick – IAPP – International Association of Privacy Professionals

GOLINUCCI è membro di IAPP – International Association of Privacy Professionals

sicurezza

Casi di CYBER RISK & PHISING : false email da Agenzia delle Entrate – Banche – Inps

È un acronimo tra la parola inglese fishing, pescare, e phreaking, vocabolo che indica la manipolazione dei telefoni e delle reti telefoniche. Il phishing è la tipologia di truffa più diffusa on line e secondo i dati diffusi da Sophos (leader mondiale per la protezione delle reti e dell’endpoint) il 41% delle aziende subisce attacchi di phishing ogni giorno e circa il 30% di queste e-mail vengono aperte.Anche l’Italia è terreno fertile per i cyber criminali. L’ultimo caso, come denunciato ieri dall’Agenzia delle entrate, riguarda false e-mail, apparentemente provenienti dall’Assistenza servizi telematici dell’Agenzia, ma in realtà inviate da un indirizzo contraffatto, aventi come oggetto il rimborso di una quota non dovuta del canone Rai. Nel testo del messaggio di posta elettronica si comunica il riconoscimento di un parziale rimborso di 14,90 euro, per ottenere il quale si rimanda a una richiesta sull’indirizzo web del sito dell’Agenzia. Il link indicato, tuttavia, rimanda a un sito fraudolento dove, una volta inseriti i propri dati, questi vengono prontamente utilizzati dai truffatori per rubare i soldi agli ignari abbonati.   cyber       Una settimana fa la Polizia postale aveva, invece, segnalato un’attività di phishing ai danni di diversi istituti bancari. Nelle e-mail ricevute dagli utenti veniva chiesto al destinatario di collegarsi all’apparente home page dell’istituto bancario per procedere alla conferma dei propri dati e consentire l’aggiornamento dei sistemi di sicurezza. A inizio agosto, era stata la volta dell’Inps. In quel caso l’esca della cyber truffa era un falso rimborso da 785,05 euro usato per dirottare gli utenti verso una pagina web nella quale veniva indicato un importo associato a un numero di fattura con l’obiettivo di indurre le vittime a inserire le loro credenziali bancarie. «LA PRIMA cosa da fare quando si riceve una mail è controllare subito l’indirizzo del mittente. Di solito lo spam arriva da un mittente che può avere come nome la dicitura, ad esempio, della propria banca o dell’ente scelto ai fini della truffa, ma basta visualizzare l’indirizzo effettivo – di norma facilmente riconoscibile per la presenza di strani suffissi – per scoprire che non corrisponde a quello dell’intestatario dichiarato nella mail». Secondo Giulio Pascali, avvocato esperto in Privacy e Diritto delle nuove tecnologie, per non incappare nel phishing basta seguire alcune semplici regole. «Le mail delle banche, così come quelle delle poste, raramente hanno dei link all’interno da cliccare. Normalmente, per effettuare le operazioni, viene richiesto di accedere alla propria area personale. Il semplice fatto che, all’interno di una mail venga chiesto di cliccare su un link per ottenere un rimborso, effettuare un pagamento o inserire i propri dati, è già la spia di qualcosa che non va. Se, prima di chiudere e cestinare la mail, si vuole fare un’ulteriore verifica, basta passare con il mouse sul link sospetto senza cliccarlo e verrà visualizzato l’indirizzo completo che normalmente rimanda a una pagina estera».

Fonte : Giulia Prosperetti – Il Resto del Carlino 22 agosto 2018